El Col·legi informa els professionals sobre com actuar si els seus pacients poden haver-se vist afectats i recorda les obligacions de comunicació a les persones afectades i a l'Agència Espanyola de Protecció de Dades.
El programari Eholo Health ha confirmat que ha patit un ciberatac a través del qual han accedit a algunes dades identificatives de professionals i pacients (nom, llinatges, correu electrònic, telèfon i DNI), així com a algunes notes de sessió registrades a la plataforma que poden vincular-se a pacients concrets. Des de l'empresa assenyalen que "no s'ha accedit a contrasenyes ni a dades bancàries" i que "actualment no existeixen indicis d'accessos actius als sistemes".
Davant aquest incident, el COPIB informa als seus col·legiats i col·legiades que, davant el succés d'una bretxa de seguretat, el responsable de tractament ha de valorar les possibles conseqüències sobre els afectats i la seva severitat, ja que aquesta pot causar danys en la reputació dels afectats, limitar els seus drets, produir pèrdues financeres, discriminació, etc.
La recomanació és seguir les indicacions de l' Agència Espanyola de Protecció de Dades (AEPD):
- Comunicació a les persones afectades: persones físiques les dades personals de les quals s'han vist afectades per una bretxa comprometent la confidencialitat, integritat i/o disponibilitat d'aquestes dades, i les quals poden patir les conseqüències. L'article 34 del RGPD estableix que quan sigui probable que la bretxa de dades personals comporti un alt risc per als drets i llibertats de les persones físiques, el responsable de tractament comunicarà la bretxa de dades personals als afectats sense dilació indeguda
La comunicació als afectats s'ha de realitzar en un llenguatge clar i senzill, respectar el contingut mínim establert en l'article 34 del RGPD i dirigir-se específicament a aquelles persones per a les quals hi hagi un risc alt que els seus drets i llibertats poden veure's danyats (per exemple, en el cas de menors i persones vulnerables).
- Comunicació a l'AEPD: El paràmetre determinant per notificar una bretxa de dades personals a l'Autoritat de Control o comunicar-la als afectats és el nivell de risc. No qualsevol tipus de risc o un risc per a l'organització, sinó específicament el risc per als drets i llibertats de les persones físiques afectades per la bretxa
El RGPD estableix que el responsable de tractament notificarà les bretxes de dades personals a l'Autoritat de Control sense dilació indeguda i com a molt tard dins de les 72 hores des que es tengui constància de la bretxa de dades personals. El termini de 72 hores comença a calcular-se des de l' instant en què el responsable de tractament tengui constància que l'incident de seguretat ha afectat dades personals, incloent-hi les hores transcorregudes durant caps de setmana i dies festius.
A Eholo cal demanar saber si hi ha dades dels vostres pacients afectats i quin tipus de dades, per fer aquestes comunicacions de manera correcta.
Recursos que posa a la seva disposició l'Agència Espanyola de Protecció de Dades Personals:
- 'Asesora Brecha', recurs d'utilitat perquè qualsevol organització, responsable d'un tractament de dades personals, pugui valorar l'obligació de notificar sense dilació indeguda a l'Agència Espanyola de Protecció de Dades una bretxa de dades personals, tal com estableix l'article 33 del Reglament General de Protecció de Dades
- Guía para la notificación de brechas de datos
El COPIB posa a la vostra disposició l' Assessoria Jurídica del COPIB si ho considerau necessari.
